Atelier débatprospectif FichedeSynthèse Retraitecomplémentaire etprévoyance Lerisque opérationnel 3Octobre2013
LE RISQUE OPERATIONNEL Sommaire INTRODUCTION... 2 PARTIE 1 QU EST-CE QU UN RISQUE OPERATIONNEL?... 2 A. DEFINITION ET PARTICULARITE... 2 B. LES DIFFERENTES CATEGORIES DE RISQUES OPERATIONNELS... 3 C. ANALYSE DU RISQUE: AXES CAUSES ET CONSEQUENCES... 4 D. LES LIENS AVEC LES AUTRES RISQUES ET LA NOTION DE RISQUES FRONTIERES.. 4 PARTIE 2 LES RISQUES OPERATIONNELS POUR UN GROUPE DE PROTECTION SOCIALE 5 A. ASSURANCES DE PERSONNES ET RETRAITE COMPLEMENTAIRE SOUS LES ANGLES RISQUES RARES ET RISQUES DE FREQUENCE... 6 B. L ESPERIENCE MALAKOFF MEDERIC... 7 PARTIE 3 LA MAITRISE DU RISQUE OPERATIONNEL... 8 A. DISPOSITIF CIBLE DE PILOTAGE DES RISQUES OPERATIONNELS... 8 1 LE DISPOSITIF DE RISQUE OPERATIONNEL... 8 2 LA CARTOGRAPHIE DES RISQUES OPEERATIONNELS... 8 3 LA BASE INCIDENT... 9 4 L ANALYSE DES SCENARIOS... 9 5 LES INDICATEURS DE RISQUES... 10 6 LE CONTROLE INTERNE... 10 B. DISPOSITIF DE PILOTAGE DES RISQUES OPERATIONNELS CHEZ MALAKOFF MEDERIC... 11 1 LE DEFIS MAJEURS DE LA MAITRISE DES RISQUES... 12 2 LA CULTURE DES RISQUES... 12 3 UNE QUESTION CLE : QUEL APPETIT POUR LE RISQUE OPERATIONNEL?... 13 C. LES LEVIERS DE MAITRISE DES RISQUES... 13 Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 1
INTRODUCTION La question de la maitrise des risques est aujourd hui une problématique admise par la plupart des directions d entreprises ou d organisations (groupes de protection sociale, sociétés d assurance, etc.). Il s agit maintenant de savoir comment décliner sa mise en application au sein des structures opérationnelles. Le risque opérationnel, bien que piloté en central, reste une partie intégrante du management de proximité. Son identification, son évaluation et sa maitrise doivent se faire en collaboration avec les opérationnels. En effet, c est d autant plus vrai qu aujourd hui les Groupes de Protection Sociale (GPS) ont une activité diversifiée que seule les opérationnels sont capables d appréhender finement. L implication de tous les acteurs de la chaîne des processus est alors une question cruciale. Les Groupes de Protection Sociale doivent donc adopter cette culture de gestion des risques afin de maîtriser les risques. Après avoir défini ce qu est un risque opérationnel et les liens avec l activité d assurance / retraite, nous expliquerons comment le maitriser opérationnellement. PARTIE 1 QU EST-CE QU UN RISQUE OPERATIONNEL? Pour pouvoir identifier et maîtriser ses risques, il est nécessaire de définir dans un premier temps ce qu est un risque opérationnel. A. DEFINITION ET PARTICULARITE L article 13 de la Directive Solvabilité II définit le risque opérationnel comme «le risque de perte résultant de procédures internes, de membres du personnel ou de systèmes inadéquats ou défaillants, ou d'événements extérieurs». Le Risque opérationnel est donc un risque subi, contrairement aux risques métiers et stratégiques. Il est parfois diffus et difficile à appréhender de par la multitude de formes qu il peut endosser. Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 2
B. LES DIFFERENTES CATEGORIES DE RISQUES OPERATIONNELS Le risque opérationnel est le plus souvent appréhender à travers la nomenclature bâloise qui définit 7 types d événements : Fraude interne Pratiques en matière d emploi et de sécurité du travail Clients, produits et pratiques commerciales Interruptions de l activité et dysfonctionnements des systèmes Fraude externe Dommages occasionnés aux actifs physiques Exécution, livraison et gestion des processus Ces 7 familles bâloises représentent le niveau 1 de l arborescence des risques. Leur thématique étant très générique, il faut descendre à un niveau 2 voire 3 afin d adapter ce découpage aux activités spécifiques de chaque entreprise. Certaines familles comme l «Exécution, livraison et gestion des processus» vont contenir un très grand nombre de déclinaisons et donc concentrer un grand nombre de risque. Les familles bâloises servent donc à segmenter les risques mais ne préjuge pas de leur répartition. Quelques exemples Détournements sur prestations (ex : 55 déclarations de paternité) Versements indus (ex : un salarié ne déclarant pas sa reprise du travail) Erreurs de paramétrage, conception ou implémentation de système d informations lié au calcul de primes, de versements ou de calcul de points sur retraites complémentaires Non-respect de la confidentialité (ex : 4 000 adresses mails d'étudiants divulguées) Fraude à l assurance (ex : Des personnes mortes parfois depuis de nombreuses années, dont les décès n'ont pas été déclarés par les familles afin de continuer à percevoir leur pension de retraite) Aujourd hui, un nouveau risque potentiellement très impactant concerne les prestataires. Il est clairement mis en avant par Solvabilité II qui rappelle que l entreprise donneuse d ordre reste porteuse de ces risques. Par ailleurs, la plupart des grands prestataires font eux-mêmes appel à des prestataires. Cette sous-délégation peut représenter un risque de concentration notamment si plusieurs prestataires font appel à un même sous-traitant (ex : incendie dans un centre d hébergement où plusieurs prestataires d une même entreprise ont confiés les données de différents département de cette entreprise). Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 3
C. ANALYSE DU RISQUE: AXES CAUSES ET CONSEQUENCES La manifestation d un risque, l évènement, est précédée par une ou des causes et suivie par une ou des conséquences. Ainsi, l adoption d une logique causale permet d identifier le fait générateur, la cause première, de définir les éléments de pertes, i.e. les conséquences, ainsi que les éléments susceptibles d amplifier soit les causes soit les conséquences. L analyse du risque est un exercice délicat car elle nécessite des discussions approfondies avec les opérationnels afin de remonter le plus en amont possible dans la recherche de causalité. Cette étude permet en remontant à la cause première, d élaborer des dispositifs de maitrises des risques afin d absorber ou de limiter les impacts. Aussi, si la cause n est pas maitrisable (ex : crue de la Seine) il sera possible de pallier cette fatalité par la mise en place d un Plan de Continuité d Activité (PCA). Idéalement, pour avoir une bonne maîtrise des risques, il faut systématiser les analyses très en amont des projets quel que soit le type de projet (SI, réorganisation, restructuration). Il faut avoir le courage de regarder et d anticiper les risques pour pouvoir en évaluer les impacts. Ainsi, en plus des indicateurs de ROI, l analyse du risque permet aux décisionnaires d être attentifs aux risques (financiers, image, sociale, qualité ) dans leurs prises de décision. D. LES LIENS AVEC LES AUTRES RISQUES ET LA NOTION DE RISQUES FRONTIERES Les risques générés par les activités d assurance sont de plusieurs types Il peut exister une interaction entre le risque opérationnel et les risques métiers/activités. En effet, certains risques liés au métier peuvent être associés au risque opérationnel, lié à l activité de production et ainsi amplifier les impacts en cas de survenance de l évènement. Ces risques sont qualifiés de «risques frontières». Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 4
Quelques exemples Association risque opérationnel / risques de marché : o Dissimulation intentionnelle d opérations de trésorerie o Défaut d information des assurés sur des produits d épargne (art. 83 multi-support) o Erreurs ou retard lors de la saisie d un ordre sur des placements o Dysfonctionnements des systèmes d informations de suivi des placements Association risque opérationnel / risque de souscription des assureurs : o Erreur commise dans le calcul ou la saisie du coefficient de surprime en fonction de la sélection médicale, de l âge du bénéficiaire, o Mauvaise conception, implémentation ou un mauvais paramétrage d un modèle de tarification santé/prévoyance Association risque opérationnel / risque de contrepartie : o Incompréhension sur les termes d un traité de réassurance PARTIE 2 LES RISQUES OPERATIONNELS POUR UN GROUPE DE PROTECTION SOCIALE Les risques de la protection sociale proviennent de la diversité de ses activités (Retraite complémentaire, Santé, Prévoyance, Action sociale, Gestion d actifs et Services), qui engendre des risques opérationnels multiples dont notamment : Risques techniques : o Catastrophe o Biométriques : lié à la longévité et à la mortalité Risques de marché : o Action o Taux Risques opérationnels : o Risque psychosociaux : il agit du risque humain o Externalisation : la sous-traitance à tendance à réduire le risque lié à une activité par l apport d une expertise externe, mais elle va créer également de nouveaux risques. o Non-conformité o Erreur d exécution o Fraude interne et externe o Résidences médico-sociales : cette activité qui n est pas considérée dans la directive Solvabilité 2 représente un risque potentiellement très important car on parle là d un risque mortel, donc humain et non plus pécunier. o Protection des données : cela concerne autant la sauvegarde que la diffusion des données qu elles soient sous format électronique, papier ou autres o Continuité d activité Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 5
Quelques exemples propres aux Groupes de protection sociale Retraite complémentaire : Erreur dans le montant de la prestation retraite versée Santé : Non-conformité du calcul du ticket modérateur qui est la base du remboursement d une visite médicale chez un médecin conventionné Prévoyance : Règlements indus du capital sur la base de faux documents (acte de décès) transmis par le titulaire ou un bénéficiaire Action Sociale : Maladie nosocomiale suite à une négligence du personnel de santé dans un centre de santé, maltraitance dans une maison de retraite Gestion d actifs : Non-respect des limites d investissement dans le cadre de la gestion d actif Services : mauvaise maîtrise des prestations externalisées, cadre juridique non conforme, sécurité de données confidentielles non assurée A. ASSURANCES DE PERSONNES ET RETRAITE COMPLEMENTAIRE SOUS LES ANGLES RISQUES RARES ET RISQUES DE FREQUENCE Les risques opérationnels identifiés, non exhaustifs, permettent de dégager deux grandes familles de risques opérationnels les risques de fréquence à impacts modérés et les risques rares à impacts forts. Les risques de fréquence sont des risques liés aux actions, activités, tâches répétitives dont le volume de réalisation est important. Cela est particulièrement vrai pour le traitement des dossiers d adhésion. Les risques opérationnels de fréquence portant sur ce type d opération sont le plus souvent le risque d erreur, la mauvaise saisie ou l oubli. Les risques de fréquence ont un lien fort avec le contrôle de 1er niveau. Quelques exemples Erreur de saisie lors de modifications apportées au dossier client Erreur de saisie de la date de naissance Les risques rares sont des risques qui possèdent peu ou pas d historique. Ils peuvent être composites, c est-à-dire résultant de la combinaison de plusieurs types de risques, c est le cas des risques frontières Quelques exemples Dépassement de limite d investissement Investissement hors politique de gestion actif/passif sur des produits «actions» par un collaborateur du département gestion d actifs Combiné à une volatilité forte et durable sur les marchés financiers Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 6
ré m a B. L ESPERIENCE MALAKOFF MEDERIC La cartographie des risques se façonne avec toutes les directions porteuses des risques, puis elle est débattue avec la Direction Générale avant d être validée par les administrateurs. Ces derniers sont susceptibles d ajouter des points avant validation (ex : vu le contexte actuelle de crise, le risque de défaillance client dans le paiement des primes peut représenter un risque). Les risques de fréquence / impacts modérés Les risques rares / impacts forts Cartographie des risques opérationnels (bottom up) Cartographie des risques majeurs (top down) Processus / référence : Créer un produit en filière standard Description du risque opérationnel Evaluation du risque opérationnel significatif Description du contrôle Etape Rattachement à la nomenclature des risques par CIG risque significatif Description du risque d'étape Référence du Risque Cause de risques Réglementation applicable Référence(s) inter dépendance Date évaluation du risque Fréquence Impact financier Impact image Impact légal, réglementaire Synthèse impacts Criticité du Référence du Commentaire risque risque contrôle Description du contrôle Commentaires éventuels Systèmes d'information Manuel, mixte, automatique atique Fréquence Nom et fonction du responsable du contrôle Identifier le besoin 2 Inadéquation du produit par rapport aux attentes client 11/02/11 1 1 1 1 1 faible OFR-A-017/ Réunion du Groupe Miroir : compte rendu sur adéquation de Groupe Miroir : panel représentatif collectif C-01 l'offre / client et au réseau et individuel des commerciaux et Mesure de l'offre directement dans les BU. plateformes MA Chef marché/produit en charge de la création du produit 2 Retard sur la mise en marché d'une nouvelle offre 03/05/11 1 2 3 1 3 modéré OFR-A-017/ Benchmark sur l'offre concurentielle / garanties : rapport du Dispositif de veille concurrentielle : projet C-02 benchmark. prévu en 2012 par la Direction Exploitation d'études : résultats dans la Fiche produit V0. Etudes&Veille Groupe (veille automatique) Veille concurrentielle : nouveau dispositif de veille prévu pour 2012. MA Chef marché/produit en charge de la création du produit Faire une étude préalable 2 Mauvaise analyse des conditions d'entrée du marché 03/05/11 1 3 3 1 3 modéré OFR-A-017/ Conditions d'accessibilité au marché définies dans la Fiche C-03 produite V0. MA Chef marché/produit en charge de la création du produit Concevoir l'offre 2 Tarification erronée 03/05/11 1 3 1 1 3 modéré OFR-A-017/ Benchmark tarifaire, expérience des équipes commerciales et C-04 test de restriction de la souscription restitués dans Fiche produit V1. Chef marché/produit en charge de la création du produit Concevoir l'offre détaillée 2 Dispositif de liquidation des prestations santé et prévoyance non disponible en gestion (SI + processus) 03/05/11 1 2 3 2 3 modéré Du à un décalage entre mise OFR-A-017/ Demande d'engagement sur date de mise en gestion et en marché et mise en gestion C-05 définition d'un plan de secours fournis dans la Fiche du projet. MA Chef de projet affecté au projet de création d'une nouvelle offre 3 non respect de la réglementation 03/05/11 2 2 2 2 2 modéré OFR-A-017/ Comité de Produits avec intervention d'experts de la Dir C-06 Juridique et de la Dir Souscription : avis juridique et sur la souscription fournis dans le compte rendu du Comité. MA Chef de projet affecté au projet de création d'une nouvelle offre Choix du non respect d'une recommandation juridique du à un potentiel de développement Référentiel Groupe de 174 processus Env. 80 processus déjà documentés Env. 360 risques identifiés Rattachement à une nomenclature de risques à 3 niveaux liens avec les risques majeurs 19 risques majeurs identifiés parmi env. 100 risques prioritaires Impacts : image (y compris client), réglementaire, financier Inhérents + conjoncturels Tendance : SI, protection de la clientèle, réglementaire Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 7
PARTIE 3 LA MAITRISE DU RISQUE OPERATIONNEL A. DISPOSITIF CIBLE DE PILOTAGE DES RISQUES OPERATIONNELS 1 LE DISPOSITIF DE RISQUE OPERATIONNEL Le dispositif de risque opérationnel doit permettre la détection le plus tôt possible des risques et incidents de nature opérationnelle pouvant avoir des conséquences financières ou d image. Il doit permettre d analyser et d apprécier le plus précisément possible les impacts de ces risques. De plus, le dispositif doit pouvoir alerter et mobiliser les principaux responsables concernés par les risques, qu ils en soient à l origine ou qu ils en subissent les conséquences. Aussi, il doit permettre de définir les plans d actions nécessaires y compris en termes d instruments de financement du risque. Enfin, il doit disposer d outils de pilotage à destination du Directoire, des Directions et des différentes parties prenantes du dispositif. Le point primordial est que ce dispositif doit avant tout reposer sur un réseau de correspondants capables de servir de relais d informations et également d alerter et de gérer les incidents. En contrepartie, ces correspondants risque doivent également être alimentés en informations et disposer d un retour sur investissement via des reportings. L important est que toute l entreprise soit «innervée» par une filière risque opérationnel pour assurer une analyse fine des risques et une réactivité forte face aux incidents. Concrètement, pour élaborer un dispositif de risque opérationnel adapté aux enjeux de l organisation, il faut que celui-ci se nourrisse des situations et évènements passés que ce soit ceux vécues par l entreprise (base incidents) ou ceux connus et qui se sont produits dans d autres entreprises. Mais aussi prendre la mesure de la situation actuelle et de l environnement de l entreprise en appréhendant le contour du profil de risque (cartographie des risques), en déterminer le contrôle permanent en place (contrôle interne) et en définissant des éléments permettant de surveiller et/ou d être alerté en temps et en heure sur la modification du profil de risque de l entreprise (indicateurs). Enfin, le dispositif cible doit permettre de se projeter également sur des évènements rares qui sont le plus souvent des risques majeurs (analyse de scénarios). La logique Enterprise Risque Management (ERM) doit être appliqué pour donner une vue d ensemble et transverse au dispositif. C est pourquoi, il est important que l organisation de la filière risque repose sur des échanges entre les acteurs des risques qualitatifs et quantitatifs mais aussi sur des directeurs capables d animer le dispositif en allant visiter les sites et en discutant avec les manager pour ancrer le dispositif à la réalité. 2 LA CARTOGRAPHIE DES RISQUES OPEERATIONNELS La cartographie des risques opérationnels permet d identifier et recenser les principaux risques, internes ou externes, pouvant avoir un impact sur l atteinte des objectifs fixés. Elle permet aussi Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 8
d évaluer les risques via la prise en compte de leur probabilité d occurrence et de leur gravité potentielle, ainsi que de l environnement et des mesures de maîtrise existantes. C est un outil pour visualiser l exposition aux risques, délimiter les contours du profil de risques et identifier les zones à risque insuffisamment couvertes par le dispositif de maîtrise. Elle permet aussi de comparer et hiérarchiser les risques les uns par rapport aux autres. Ce qui ressort le plus souvent des cartographies* : 3 LA BASE INCIDENT * Schéma volontairement simplifié La base incident possède de multiples avantages à commencer par l identification et la compréhension des incidents qui arrivent le plus souvent à l entreprise dans le but d améliorer sa capacité à évaluer, gérer ou éviter le risque. Elle peut servir de support au processus d évaluation des risques et du dispositif de maîtrise des risques et également satisfaire aux exigences d informations à communiquer au régulateur mais aussi à la Direction. 4 L ANALYSE DES SCENARIOS L analyse des scénarios permet une approche globale de la gestion des risques en prenant en compte des risques pour lesquels il existe peu d historique car le risque semble peu probables mais dont les impacts potentiels sont élevés car souvent transverses. Son but est de permettre d identifier l arbre de défaillance et la chaine causale, comprenant notamment les faiblesses et les facteurs de risques. C est également une attente règlementaire de Solvabilité II dans le cadre de l ORSA d identifier, d évaluer et de suivre les risques majeurs liés à son activité. Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 9
5 LES INDICATEURS DE RISQUES Les indicateurs de risques ont pour objectifs d alerter le management de l entreprise, aux différents niveaux de l organisation sur les évolutions porteuses de risques grâce à une évaluation régulière des améliorations ou des détériorations du profil de risques et de l environnement de prévention et de contrôle. Pour être optimal, des seuils d alerte doivent être déterminés et un suivi régulier doit permettre d anticiper des évolutions porteuses de risques opérationnels et donc de réagir de manière adéquate. En effet, il faut être préparé à agir lorsque ces seuils sont dépassés grâce à la mise en œuvre de plans d actions. Le suivi des indicateurs permet une gestion proactive et prospective des risques opérationnels et également de relever les signaux faibles, parfois annonciateurs d un événement majeur ou simplement d une dégradation du dispositif. 6 LE CONTROLE INTERNE Il existe un lien évident entre la gestion du risque opérationnel et le contrôle interne. En effet, le contrôle interne qui vise à sécuriser l activité d une entreprise, offre une assurance raisonnable quant à la maitrise des risques opérationnels. Pour cela des politiques, procédure et plans de contrôle doivent être mis en place pour s assurer de l atteinte des objectifs. Le contrôle n a d intérêt que si l entreprise est capable d en tirer des conséquences. Par exemple en favorisant les changements demandés par les opérationnel ou en générant une valeur ajoutée à même de favoriser l appropriation du dispositif par les opérationnels. Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 10
B. DISPOSITIF DE PILOTAGE DES RISQUES OPERATIONNELS CHEZ MALAKOFF MEDERIC Vision management Cartographie des risques majeurs Plan d Actions Risques Reporting COMEX Risques opérationnels Cartographies des risques Base incidents Contrôles de 2 ème niveau Risques projets Sécurité Financière Indicateurs de risques Risques de conformité Sécurité des S.I. Vision processus Culture et sensibilisation: com. interne, objectifs managériaux, réseau de contrôleurs Cartographie des risques majeurs Gestion des incidents Contrôles de 2 ème niveau Impacts projets sur les Risques DISPOSITIF Approche top down par les principaux directeurs du groupe (env. 25) Identification d env. 100 risques significatifs Sélection en Comité des Risques des 15 à 20 risques majeurs Définition d un Plan d Actions Risque annuel piloté en COMEX Priorité donnée aux dysfonctionnements immédiats Focus sur les incidents les plus critiques Nécessité pour la direction des risques de jouer un rôle d accompagnement opérationnel Pilotage mensuel des plans d actions correctifs / préventifs Approche bottom up via un programme de refonte des processus Identification des risques et des contrôles clés Capitalisation sur un réseau d adjoins de contrôle interne Autoévaluation annuelle Campagnes ciblées de contrôles de 2 ème niveau Concerne uniquement les projets «sensibles» Analyse les impacts des projets sur les risques et le dispositif de contrôle Renforce la qualité des livrables des projets S intègre à la structure projet et s appuie sur les ACI ENJEUX Développement d une approche quantitative Qualification / priorisation des actions Intégration dans le plan stratégique et budgétaire Changement culturel (transparence) Quantification des pertes opérationnelles Outil et workflow Granularité du dispositif Acculturation par les managers Charge potentielle valeur ajoutée «Buy-in» du management Minimisation des impacts négatifs et des nouveaux risques Alerte rapide en cas d anticipation de risques accrus Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 11
Nota : A la question de savoir à quoi cela sert de quantifier les risques, les deux principales réponses ont été : A ajuster les fonds propres en prévision des risques potentiels A prioriser les actions et les périmètres où il est nécessaire d investir 1 LE DEFIS MAJEURS DE LA MAITRISE DES RISQUES Dès lors, les défis majeurs de la maîtrise des risques concernent L identification Quels mécanismes mettre en place pour identifier les risques? Incidents, cartographies, référentiels, veille, risques émergents La priorisation Comment prioriser le traitement des risques? Rapport coût / bénéfice? Quantification des risques, modélisation, scénario L assurance Quelle garantie d efficacité pour le dispositif de contrôle / maîtrise? Contrôles de 2ème niveau (autoévaluation, testing), audit interne La culture Comment diffuser une culture de gestion des risques? Objectifs annuels, rémunération, formation 2 LA CULTURE DES RISQUES Le socle essentiel pour maîtriser les risques vient du fait que chaque opérationnel, chaque responsable et chaque membre de la direction soit éveillé au risque. Une gouvernance des risques solide Impulsion de la direction générale Prise en compte des valeurs éthiques Alignement des objectifs RH Des rôles et responsabilités clairement définis Des échanges de vues contradictoires favorisés Culture des risques Une information transparente et fluide Une fonction Risques encouragée Valorisation des comportements vertueux Une culture du contrôle et de la documentation Des processus et organisations simples / fluides Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 12
3 UNE QUESTION CLE : QUEL APPETIT POUR LE RISQUE OPERATIONNEL? C est une question qui peut trouver sa réponse dans des cadres normatifs comme le COSO2 ou réglementaire comme Solvabilité 2 mais cette appétit au risque doit avant tout être déterminé par rapport au référentiel métier de l entreprise. A partir de là, les risques métiers (assurantiels ou financiers) peuvent faire l objet d une prise de décision sur leur «juste» niveau, au regard de la stratégie de l entreprise. En revanche, peut-on avoir un appétit pour le risque opérationnel? Autrement dit, est-il possible de fixer un seuil de fraude acceptable par exemple ou un temps d interruption de l activité? La réponse est oui et la mise en œuvre du dispositif de maitrise des risques dépend de l investissement que l entreprise est prête à mettre pour limiter ces risques opérationnels et donc diminuer le seuil au minimum. D autres exemples Coût d opportunité face à un nouveau business vs. un cadre juridique peu clair Niveau de franchise dans les contrats d assurance Type d assurances (ex. cybercriminalité) Nombre de collaborateurs en charge d activité de contrôles Coût de la sécurité SI et délais de mise en œuvre C. LES LEVIERS DE MAITRISE DES RISQUES Plusieurs stratégies s offrent aux propriétaires des risques pour appréhender les risques opérationnels quels qu ils soient. La détermination de l attitude à avoir face aux risques nécessite la définition, même non encore formalisée, de l appétence au risque. Il existe 4 types de réponses face aux risques : Atelier-débat : Le risque opérationnel 3 octobre 2013 Page 13